Manfred Kloiber: An Werkzeugen, mit denen man die eigenen Daten verschlüsseln oder absichern kann, mangelt es wohl nicht. Doch die Anwendung dieser Software ist nicht immer ganz einfach. Und gerade bei den kostenlosen Produkten hat man ja oft auch das Gefühl, dass sie etwas sperriger sind als kommerzielle Software. Marcus Schuler, woran liegt das?
Marcus Schuler: Sie haben gerade schon das richtige Stichwort genannt. Kommerziell. Software wie OpenPGP ist Open-Source-Software, sie wird von der Allgemeinheit gepflegt. Fragen der Vereinfachung stehen dort nicht immer im Vordergrund, sondern man will den Nutzern möglichst hohe Freiheitsgrade gewähren in der Bedienung – also, mit welcher Stärke zum Beispiel verschlüsselt werden soll oder über welche Server man die öffentlichen Schlüssel austauschen will.
Kloiber: Was tun, wenn man sich mit diesen Verschlüsselungstechniken vertraut machen will?
Schuler: Man sollte möglichst hartnäckig bleiben. Im Internet gibt es viele gute Anleitungen, wie man seinen E-Mail-Verkehr verschlüsseln kann. Wer in Suchmaschinen wie DuckDuckGo mit den einschlägigen Begriffen nach Tutorials sucht, wird hier schnell fündig. Die Online-Ausgabe der Wochenzeitung "Die Zeit" hat noch vor dem Prism-Skandal eine Reihe sehr guter Anleitungen zu OpenPGP oder TOR ins Netz gestellt. Die sind sehr zu empfehlen.
Kloiber: Verschlüsselung, Herr Schuler, ist ja das eine, aber: Wer seine Daten vor dem Zugriff Anderer schützen will, der sollte ja auch sein Verhalten ändern, wie er sich zum Beispiel im Netz bewegt.
Schuler: Auch das ist ein in der Tat wichtiger Aspekt. Internetaktivisten empfehlen beispielsweise auf die Weboberflächen von Google Mail oder Outlook.com zu verzichten. Laut Edward Snowden gewähren ja auch Google und Microsoft der NSA Zugang zu ihren Mailservern. Jeder muss also für sich überlegen, ob er diese Dienste überhaupt nutzen möchte. Ganz generell empfiehlt es sich natürlich, lokal installierte E-Mail-Clients wie Thunderbird zu nutzen und dort dann Verschlüsselungswerkzeuge wie Open PGP zu installieren. Es empfiehlt sich auch hier, ins Netz zu gehen mit Browsern wie Firefox oder Opera. Gerade für den Firefox-Browser gibt es ja viele kleine Plugins. Ein Beispiel: Better Privacy ist eine kleine Software, die hartnäckige Cookies zu löschen vermag, oder "https everywehre”, das sorgt dafür, dass man nur verschlüsselte Verbindungen zu Webservern aufbaut.
Kloiber: Weshalb sollte man eigentlich auf Open-Source-Software zurückgreifen und nicht auf kommerzielle Anbieter beispielsweise für Virtual Private Networks, also für VPN-Dienste?
Schuler: Der Grund ist ganz einfach: Meist handelt es sich hier um proprietäre Software. Keiner kann bei kommerziellen Herstellern nachprüfen, ob der Hersteller nicht selbst dann die Daten bei sich auf seinen Rechnern, in seinem Rechenzentrum entschlüsselt, das heißt mitliest und diese Informationen auswertet oder gar weitergibt. Die NSA, so heißt es, ist ja über Kapitalbeteiligungsgesellschaften an StartUps im Silicon Valley beispielsweise beteiligt. Welche das sind, weiß man natürlich nicht. Da empfiehlt es sich eher, auf Open-Source-Software auszuweichen. Denn die Entwickler kontrollieren sich dort gegenseitig.
Kloiber: Von mittelständischen Unternehmen in Deutschland ist ja in dieser ganzen Diskussion bislang wenig zu hören gewesen. Woran liegt das?
Schuler: Der Branchenverband BITKOM hat lediglich dieser Tage mitgeteilt, dass bei deutschen Unternehmen das Interesse an Sicherheitslösungen - sei es jetzt Hard- oder Software - offenbar deutlich gestiegen ist. Viele Unternehmen, die gerade im Bereich der Hightech tätig sind, befürchten wohl eher einen Imageschaden, wenn sie sich öffentlich äußern. Bei den Unternehmen in Deutschland wird aber sicherlich, so ist zu erwarten, ein Umdenken einsetzen, wie man sich und die eigenen Mitarbeiter besser schützen kann. Und für die Weiterentwicklung jener Verschlüsselungswerkzeuge, die zum Teil noch sehr kompliziert daherkommen, dürfte der Prism-Skandal eher eine positive Auswirkung haben und einen Ansporn darstellen, diese Lösungen benutzerfreundlicher zu gestalten.
Zur Übersichtsseite der Serie "Die sieben Todsünden der IT-Sicherheit"
Zum Themenportal "Risiko Internet"
Marcus Schuler: Sie haben gerade schon das richtige Stichwort genannt. Kommerziell. Software wie OpenPGP ist Open-Source-Software, sie wird von der Allgemeinheit gepflegt. Fragen der Vereinfachung stehen dort nicht immer im Vordergrund, sondern man will den Nutzern möglichst hohe Freiheitsgrade gewähren in der Bedienung – also, mit welcher Stärke zum Beispiel verschlüsselt werden soll oder über welche Server man die öffentlichen Schlüssel austauschen will.
Kloiber: Was tun, wenn man sich mit diesen Verschlüsselungstechniken vertraut machen will?
Schuler: Man sollte möglichst hartnäckig bleiben. Im Internet gibt es viele gute Anleitungen, wie man seinen E-Mail-Verkehr verschlüsseln kann. Wer in Suchmaschinen wie DuckDuckGo mit den einschlägigen Begriffen nach Tutorials sucht, wird hier schnell fündig. Die Online-Ausgabe der Wochenzeitung "Die Zeit" hat noch vor dem Prism-Skandal eine Reihe sehr guter Anleitungen zu OpenPGP oder TOR ins Netz gestellt. Die sind sehr zu empfehlen.
Kloiber: Verschlüsselung, Herr Schuler, ist ja das eine, aber: Wer seine Daten vor dem Zugriff Anderer schützen will, der sollte ja auch sein Verhalten ändern, wie er sich zum Beispiel im Netz bewegt.
Schuler: Auch das ist ein in der Tat wichtiger Aspekt. Internetaktivisten empfehlen beispielsweise auf die Weboberflächen von Google Mail oder Outlook.com zu verzichten. Laut Edward Snowden gewähren ja auch Google und Microsoft der NSA Zugang zu ihren Mailservern. Jeder muss also für sich überlegen, ob er diese Dienste überhaupt nutzen möchte. Ganz generell empfiehlt es sich natürlich, lokal installierte E-Mail-Clients wie Thunderbird zu nutzen und dort dann Verschlüsselungswerkzeuge wie Open PGP zu installieren. Es empfiehlt sich auch hier, ins Netz zu gehen mit Browsern wie Firefox oder Opera. Gerade für den Firefox-Browser gibt es ja viele kleine Plugins. Ein Beispiel: Better Privacy ist eine kleine Software, die hartnäckige Cookies zu löschen vermag, oder "https everywehre”, das sorgt dafür, dass man nur verschlüsselte Verbindungen zu Webservern aufbaut.
Kloiber: Weshalb sollte man eigentlich auf Open-Source-Software zurückgreifen und nicht auf kommerzielle Anbieter beispielsweise für Virtual Private Networks, also für VPN-Dienste?
Schuler: Der Grund ist ganz einfach: Meist handelt es sich hier um proprietäre Software. Keiner kann bei kommerziellen Herstellern nachprüfen, ob der Hersteller nicht selbst dann die Daten bei sich auf seinen Rechnern, in seinem Rechenzentrum entschlüsselt, das heißt mitliest und diese Informationen auswertet oder gar weitergibt. Die NSA, so heißt es, ist ja über Kapitalbeteiligungsgesellschaften an StartUps im Silicon Valley beispielsweise beteiligt. Welche das sind, weiß man natürlich nicht. Da empfiehlt es sich eher, auf Open-Source-Software auszuweichen. Denn die Entwickler kontrollieren sich dort gegenseitig.
Kloiber: Von mittelständischen Unternehmen in Deutschland ist ja in dieser ganzen Diskussion bislang wenig zu hören gewesen. Woran liegt das?
Schuler: Der Branchenverband BITKOM hat lediglich dieser Tage mitgeteilt, dass bei deutschen Unternehmen das Interesse an Sicherheitslösungen - sei es jetzt Hard- oder Software - offenbar deutlich gestiegen ist. Viele Unternehmen, die gerade im Bereich der Hightech tätig sind, befürchten wohl eher einen Imageschaden, wenn sie sich öffentlich äußern. Bei den Unternehmen in Deutschland wird aber sicherlich, so ist zu erwarten, ein Umdenken einsetzen, wie man sich und die eigenen Mitarbeiter besser schützen kann. Und für die Weiterentwicklung jener Verschlüsselungswerkzeuge, die zum Teil noch sehr kompliziert daherkommen, dürfte der Prism-Skandal eher eine positive Auswirkung haben und einen Ansporn darstellen, diese Lösungen benutzerfreundlicher zu gestalten.
Zur Übersichtsseite der Serie "Die sieben Todsünden der IT-Sicherheit"
Zum Themenportal "Risiko Internet"